论文研究 一种改进的多源异构告警聚合方案.pdf

各类网络安全防御设备产生的大量冗余告警信息非常琐碎、误警率高，给告警的分析和理解造成较大困难。针对这一问题进行研究，提出一种改进的多源异构告警数据的聚合方案，综合分析告警类型、源IP、目的IP、目的端口及时间间隔几个属性，总结出四个规则，并在聚合过程中动态更新时间间隔阈值，提高聚合精确度。实验结果表明，这种方法能高效减少异构告警信息的数量，得到精简的超告警数据，并实现了实时处理告警信息的能力。